DIGITAL SOLUTIONS
Il faudra documenter chaque traitement de données
Le nouveau Règlement général relatif à la protection des données personnelles (RGPD) alimente de nombreuses discussions, autant qu’il soulève des interrogations.
April 26, 2017
Le nouveau Règlement général relatif à la protection des données personnelles (RGPD) alimente de nombreuses discussions, autant qu’il soulève des interrogations. Evocation des futurs enjeux avec François Barret, Financial Cybersecurity and Data Privacy Leader, et Alexandre Minarelli, Commercial Cybersecurity & Data Privacy Leader, au sein d’EY Luxembourg. Par Sebastien Lambotte pour ITnation mag, mars 2017.
Comment expliquer que le sujet RGPD soit si présent dans les discussions qui animent la place ?
François Barret : Le sujet RGPD répond à des enjeux essentiels et touche toutes les organisations sans exception. Pourtant, cela fait deux ans que nous évoquons ce sujet auprès de nos clients. La première séance d’information que nous avons donnée sur le sujet remonte à avril 2015. A l’époque, toutes les modalités de ce nouveau règlement n’étaient pas encore arrêtées. Mais des concepts comme celui de protection des données dès la conception ou encore la fonction de Data Privacy Officer (DPO, ou délégué à la protection des données) étaient déjà bien inscrits dans le projet. Aujourd’hui, l’engouement est tout autre.
Alexandre Minarelli : Les gens entament des démarches parce qu’ils y sont contraints. Désormais une échéance approche. Les montants maximaux qui peuvent être infligés en cas de non respect des principes édictés par le règlement, à savoir 20 millions d’euros ou 4% du chiffre d’affaires du groupe incriminé, sont tels que le dossier trouve son importance pour l’Executive Board.
Ce nouveau règlement implique-t-il des changements majeurs dans le cadre d’une organisation ?
FB : Ce Règlement vient remplacer une directive existante. En théorie, l’écart entre la situation actuelle et les nouvelles exigences ne devrait pas être important. En théorie toujours, les acteurs devraient principalement adapter leur cadre, afin de pouvoir démontrer qu’ils respectent bien les mesures en vigueur. Des mesures sont aussi à prendre en compte au niveau technique, en matière de cybersécurité, afin de mieux détecter les failles et pouvoir les signaler, ou pour garantir aux utilisateurs leurs nouveaux droits, comme le droit à l’oubli ou celui de la portabilité des données par exemple.
A entendre les acteurs, il semble que le chantier ne se limitera pas à quelques ajustements ?
AM : Cela révèle que, dans les faits, les normes imposées par la directive n’étaient pas suffisamment respectées… Les acteurs déjà régulés, comme dans le secteur financier, ont déjà dû mettre en place un certain nombre de mesures. Ils sont sans doute plus matures vis-à-vis de ces enjeux. Pour les activités non- régulées, c’est parfois plus compliqué.
Les données sont au cœur de l’économie digitale. Comment RGPD va modifier leur exploitation ?
AM : On constate que, de manière générale, les sociétés collectent trop de données, à travers les applications mobiles, les sites e-commerce. Avec le RGPD, la situation change, on ne pourra collecter que ce dont on aura besoin pour satisfaire à un service déterminé.
D’autre part, il faudra disposer d’un consentement actif, qui légitime toute exploitation de données personnelles. Et pour l’obtenir, il faudra que l’utilisateur soit clairement informé.
FB : Il existe toutefois des exceptions à ces principes, notamment quand d’autres mesures légales, comme celles relatives à des dispositifs de lutte contre le blanchiment d’argent ou de financement du terrorisme, contraignent les acteurs à la collecte de données et à leur conservation.
Les données personnelles sont partout dans l’entreprise. Comment s’assurer que l’on respecte les principes établis par ce règlement et démontrer qu’on le fait ?
AM : Chaque entreprise devra donc, préalablement à tout chantier de mise en conformité, réaliser une analyse d’impact relative à la protection des données (PIA, Privacy Impact Assessment). Il faut partir des données dont on dispose et des traitements qui en sont faits. Il faut pouvoir les cartographier, voir comment ils répondent aux exigences du Règlement, documenter les processus et les procédures mises en œuvre pour assurer la conformité. Il y a aussi de nouveaux principes auxquels il faut pouvoir répondre et qui pourraient exiger des adaptations techniques.
Pouvez-vous nous donner des exemples concrets ?
FB : Demain, les entreprises devront être en mesure de pouvoir transmettre toutes les données relatives à un utilisateur sur simple demande de celui-ci. Ce droit à l’information exige de mettre en œuvre une meilleure gestion et gouvernance de la donnée mais, surtout, de mettre en place des outils permettant de restituer automatiquement l’information à la demande.
AM : C’est un exemple parmi d’autres. Toutes les entreprises ne seront pas tenues à des investissements techniques importants, je pense notamment à certaines petites structures. Le changement majeur, aujourd’hui, tient dans la responsabilité des entreprises à l’égard de la donnée. Plus que de mettre en œuvre des éléments techniques, ils sont tenus de respecter l’esprit de la loi. Demain, face au régulateur, il faudra pouvoir démontrer que l’on a mis en œuvre ce qui était en notre pouvoir pour répondre aux principes édictés dans ce Règlement.
FB : Chaque acteur devra être en mesure de transmettre les données propres à un utilisateur, sur demande de celui-ci, dans un format tel qu’elles pourront être facilement exploitées. Pour le droit à l’oubli, l’exploitant des données devra être en mesure de détruire les données, à la demande de l’utilisateur, et de le démontrer. Toutefois, la destruction des données doit se faire dans le respect
des autres éléments légaux. Dans le cadre d’un contrat commercial, au Luxembourg, les acteurs sont tenus de préserver les données durant dix ans. Ils devront donc garantir à l’utilisateur que les données ne seront plus exploitées et qu’elles seront détruites après le délai légal de dix ans.
On imagine en effet mal de toutes petites structures être capables de mettre en œuvre d’importants chantiers IT ou réglementaires…
FB : L’évaluation du risque à l’égard de la donnée personnelle est déterminante pour prioriser les chantiers et les investissements. Le sous-évaluer, c’est s’exposer à des sanctions importantes. Le surévaluer, c’est s’imposer des mesures contraignantes et coûteuses. Chaque acteur doit donc, dès à présent, se demander comment il se positionne par rapport aux nouvelles obligations légales.